Introducción
Este documento describe el soporte de VLAN privada (PVLAN) para Cisco Unified Computing System (UCS) en la versión 2.2(2c) y posteriores.
Precaución: Hay un cambio en el comportamiento que comienza con la versión 3.1(3a) del firmware de UCS, como se describe en la sección Cambio de comportamiento con la versión 3.1(3) y posteriores de UCS.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- UCS
- Switch virtual distribuido (DVS) Cisco Nexus 1000V (N1K) o VMware
- VMware
- Switching de capa 2 (L2)
Componentes Utilizados
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Antecedentes
Una VLAN privada es una VLAN configurada para el aislamiento de L2 de otros puertos dentro de la misma VLAN privada. Los puertos que pertenecen a una PVLAN están asociados con un conjunto común de VLAN de soporte, que se utilizan para crear la estructura PVLAN.
Hay tres tipos de puertos PVLAN:
- Un puerto promiscuo se comunica con todos los demás puertos PVLAN y es el puerto utilizado para comunicarse con los dispositivos fuera de la PVLAN.
- Un puerto aislado tiene separación L2 completa (que incluye broadcasts) de otros puertos dentro de la misma PVLAN, con la excepción del puerto promiscuo.
- Un puerto de comunidad puede comunicarse con otros puertos en la misma PVLAN así como con el puerto promiscuo. Los puertos comunitarios se aíslan en L2 de los puertos de otras comunidades o de los puertos PVLAN aislados. Las transmisiones sólo se propagan a otros puertos de la comunidad y al puerto promiscuo.
Consulte RFC 5517, VLAN privadas de Cisco Systems: Seguridad escalable en un entorno de varios clientes para comprender la teoría, el funcionamiento y los conceptos de las PVLAN.
Configurar
Diagrama de la red
Con Nexus 1000v o DVS de VMware

Nota: Este ejemplo utiliza VLAN 1750 como la principal, 1785 como aislada y 1786 como VLAN de comunidad.
UCS con DVS de VMware
- Para crear la VLAN principal, haga clic en el botón de radio Primary como el Tipo de uso compartido, e ingrese un ID de VLAN de 1750 como se muestra en la imagen.

2. Cree las VLAN Aisladas y comunitarias en consecuencia como se muestra en las imágenes. Ninguno de estos debe ser una VLAN nativa.


3. La tarjeta de interfaz de red virtual (vNIC) en el perfil de servicio lleva VLAN regulares y PVLAN, como se ve en la imagen.

4. El canal de puerto de enlace ascendente en UCS transporta VLAN regulares así como PVLAN:
interface port-channel1
description U: Uplink
switchport mode trunk
pinning border
switchport trunk allowed vlan 1,121,221,321,1750,1785-1786
speed 10000
F240-01-09-UCS4-A(nxos)#
F240-01-09-UCS4-A(nxos)# show vlan private-vlan
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------
1750 1785 isolated
1750 1786 community
DVS de VMware


Switch ascendente N5k
feature private-vlan
vlan 1750 private-vlan primary private-vlan association 1785-1786
vlan 1785 private-vlan isolated
vlan 1786 private-vlan community
interface Vlan1750
ip address 10.10.175.252/24 private-vlan mapping 1785-1786
no shutdown
interface port-channel114
Description To UCS
switchport mode trunk
switchport trunk allowed vlan 1,121,154,169,221,269,321,369,1750,1785-1786
spanning-tree port type edge
spanning-tree bpduguard enable
spanning-tree bpdufilter enable
vpc 114 <=== if there is a 5k pair in vPC configuration only then add this line to both N5k
Cambio de comportamiento con UCS versión 3.1(3)
Antes de la versión 3.1(3) de UCS, podría tener una VM en una VLAN comunitaria para comunicarse con una VM en la VLAN principal en VMware DVS donde reside la VM de VLAN principal dentro de UCS. Este comportamiento era incorrecto, ya que la VM principal siempre debe estar en sentido ascendente o fuera de UCS. Este comportamiento se documenta a través del ID de defecto CSCvh87378
.
A partir de la versión 2.2(2) de UCS en adelante, debido a un defecto en el código, la VLAN de la comunidad pudo comunicarse con la VLAN principal que estaba presente detrás de la FI. Pero Aislado nunca pudo comunicarse con el primario detrás de la FI. Tanto las VM (aisladas como las comunitarias) todavía pueden comunicarse con el primario fuera de la FI.
A partir de 3.1(3), este defecto permite a la comunidad comunicarse con el primario detrás de la FI, se rectificó y, por lo tanto, las VM comunitarias no podrán comunicarse con una VM en la VLAN principal que reside dentro de UCS.
Para resolver esta situación, la VM principal tendría que moverse (hacia el norte) fuera de UCS. Si no es una opción, la VM principal tendría que moverse a otra VLAN que sea una VLAN normal y no una VLAN privada.
Por ejemplo, antes del firmware 3.1(3), una VM en la VLAN 1786 de la comunidad podría comunicarse con una VM en la VLAN 1750 principal que reside dentro de UCS; sin embargo, esta comunicación se interrumpiría en el firmware 3.1(3) y posterior, como se muestra en la imagen.
NOTE:
—
CSCvh87378 se ha abordado en 3.2(3l) y 4.0.4e y superiores para que podamos tener la Vlan principal detrás de UCS. Sin embargo, tenga en cuenta que la vlan aislada dentro de UCS no podrá comunicarse con la vlan principal dentro de UCS. Solo la vlan de comunidad y la vlan principal pueden comunicarse entre sí cuando ambos están detrás de UCS.


Switch ascendente 4900
Nota: En este ejemplo, 4900 es la interfaz L3 a la red externa. Si su topología para L3 es diferente, haga los cambios correspondientes
En el switch 4900, tome estos pasos y configure el puerto promiscuo. La PVLAN termina en el puerto promiscuo.
- Active la función PVLAN si es necesario.
- Cree y asocie las VLAN tal como se hace en Nexus 5K.
- Cree el puerto promiscuo en el puerto de salida del switch 4900. A partir de este punto, los paquetes de VLAN 1785 y 1786 se ven en VLAN 1750 en este caso.
Switch(config-if)#switchport mode trunk
switchport private-vlan mapping 1785-1786
switchport mode private-vlan promiscuous
En el router ascendente, cree una subinterfaz sólo para la VLAN 1750. En este nivel, los requisitos dependen de la configuración de red que utilice:
interface GigabitEthernet0/1.1
encapsulation dot1Q 1750
IP address10.10.175.254/24
Verificación
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Troubleshoot
En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.
Este procedimiento describe cómo probar la configuración para VMware DVS con el uso de PVLAN.
1. Ejecute pings a otros sistemas configurados en el grupo de puertos, así como al router u otro dispositivo en el puerto promiscuo. Los ping al dispositivo que pasa por el puerto promiscuo deben funcionar, mientras que aquellos a otros dispositivos en la VLAN aislada deben fallar como se muestra en las imágenes.


Verifique las tablas de direcciones MAC para ver dónde se está aprendiendo su MAC. En todos los switches, el MAC debe estar en la VLAN aislada excepto en el switch con el puerto promiscuo. En el switch promiscuo, el MAC debe estar en la VLAN principal.
2. UCS como se muestra en la imagen.

3. Verifique en el flujo ascendente n5k el mismo MAC, la salida similar a la anterior debe estar presente en n5k y como se muestra en la imagen.

Configuración con Nexus 1000v con puerto promiscuo en N5k ascendente
Configuración de UCS
La configuración de UCS (que incluye la configuración vNIC de perfil de servicio) permanece igual que en el ejemplo con VMware DVS.
Configuración de N1k
feature private-vlan
vlan 1750 private-vlan primary private-vlan association 1785-1786
vlan 1785 private-vlan isolated
vlan 1786 private-vlan community
same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly
port-profile type ethernet pvlan-uplink-no-prom
switchport mode trunk
mtu 9000
switchport trunk allowed vlan 121,221,1750,1785-1786
channel-group auto mode on mac-pinning
system vlan 121 no shutdown state enabled vmware port-group
port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group
port-profile type vethernet pvlan_1786 switchport mode private-vlan host switchport access vlan 1786 switchport private-vlan host-association 1750 1786 no shutdown state enabled vmware port-group
Este procedimiento describe cómo probar la configuración.
1. Ejecute pings a otros sistemas configurados en el grupo de puertos, así como al router u otro dispositivo en el puerto promiscuo. Los ping al dispositivo que pasa por el puerto promiscuo deben funcionar, mientras que aquellos a otros dispositivos en la VLAN aislada deben fallar, como se muestra en la sección anterior y en las imágenes.
![]()


2. En el N1K, las VM se enumeran en la VLAN principal; esto ocurre porque se encuentra en los puertos host PVLAN que están asociados a la PVLAN como se muestra en la imagen.

Verifique las tablas de direcciones MAC para ver dónde se está aprendiendo su MAC. En todos los switches, el MAC debe estar en la VLAN aislada excepto en el switch con el puerto promiscuo. En el switch promiscuo, el MAC debe estar en la VLAN principal.
3. En el sistema UCS, debe aprender todos los MAC en sus respectivas VLAN privadas, como se muestra en la imagen.

4. Verifique en el flujo ascendente n5k el mismo MAC, la salida similar a la salida anterior debe estar presente en n5k como se muestra en la imagen.

Configuración con Nexus 1000v con puerto promiscuo en el perfil de puerto de enlace ascendente N1K
Dado que la PVLAN termina en el puerto promiscuo, en esta configuración, usted contiene el tráfico PVLAN al N1K con sólo la VLAN principal utilizada en sentido ascendente. Por lo tanto, los dispositivos UCS y ascendentes no son conscientes de ninguna PVLAN.
Configuración de UCS
Este procedimiento describe cómo agregar la VLAN principal al vNIC. No se necesita configuración de PVLAN porque sólo necesita la VLAN principal.
Nota: Este ejemplo utiliza 1750 como primario, 1785 como aislado y 1786 como VLAN de comunidad, como también se muestra en la imagen.

Configuración de dispositivos ascendentes
Estos procedimientos describen cómo configurar los dispositivos ascendentes. En este caso, los switches ascendentes sólo necesitan puertos troncales, y sólo necesitan una VLAN 1750 troncal porque es la única VLAN que ven los switches ascendentes.
En Nexus 5K, ejecute estos comandos y verifique la configuración del link ascendente:
- Agregue la VLAN como principal:
Nexus5000-5(config-vlan)# vlan 1750
- Asegúrese de que todos los links ascendentes estén configurados para hacer un trunk de las VLAN.
Configuración de N1K
Este procedimiento describe cómo configurar el N1K:
feature private-vlan
vlan 1750 private-vlan primary private-vlan association 1785-1786
vlan 1785 private-vlan isolated
vlan 1786 private-vlan community
same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly
port-profile type ethernet pvlan-uplink
switchport mode private-vlan trunk promiscuous
switchport trunk allowed vlan 121,221,1750
switchport private-vlan trunk allowed vlan 121,221,1750 <== Only need to allow Primary VLAN
switchport private-vlan mapping trunk 1750 1785-1786 <=== PVLANs must be mapped at this stage
mtu 9000
channel-group auto mode on mac-pinning
no shutdown
system vlan 121
state enabled
vmware port-group
port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group
port-profile type vethernet pvlan_1786
switchport mode private-vlan host
switchport access vlan 1786
switchport private-vlan host-association 1750 1786
no shutdown
state enabled
vmware port-group
La PVLAN debe terminar en el puerto promiscuo en el perfil de puerto de link ascendente para n1k y UCS y posteriormente todos los dispositivos ascendentes deben ver esas VM en las VLAN principales. Esta es la instantánea de N5k ascendente y UCS.

Pocas cosas que recordar:
El comando private-vlan mapping trunk no decide ni anula la configuración del trunk de un puerto.
- el puerto ya está configurado en un modo trunk normal antes de agregar las configuraciones troncales PVLAN
- las VLAN principales se deben agregar a la lista de VLAN permitidas para el puerto troncal promiscuo
- las VLAN secundarias no se configuran en la lista de VLAN permitidas
- el puerto troncal puede transportar VLAN normales además de las VLAN principales